Meniu

Malware gasit in Arch User Repository (AUR)

Pe 7 iunie, un pachet a fost modificat in AUR cu un cod rau intentionat, amintind utilizatorilor Arch Linux (si utilizatorii de Linux , în general) ca toate pachetele generate de utilizator ar trebui sa fie verificate (daca este posibil) înainte de instalare.

AUR. Depozitului contine pachete, de asemenea , cunoscut sub numele de PKGBUILDs, ceea ce face compilarea pachetelor de la sursa mai usor. In timp ce aceste pachete sunt foarte utile, acestea nu ar trebui sa fie tratate ca sigure, iar utilizatorii trebuie sa verifice întotdeauna continutul lor înainte de a le utiliza, atunci când este posibil. 

Pachetul a fost modificata la 7 iunie (se pare ca a fost anterior „orfan“, ceea ce înseamna ca nu avea numele mentinatorului) de catre un utilizator numit „xeactor“ pentru a include o comanda de bucla care descarca un script de la un pastebin. Script - ul apoi descarcat si instala un alt script o unitate systemd pentru a rula acel script periodic. 

Se pare ca alte doua pachete au fost modificate în AUR in acelasi mod. Toate pachetele ofensatoare au fost eliminate , iar contul de utilizator, care a fost folosit pentru a le încarca a fost suspendat. 

Codul rau intentionat nu a facut nimic cu adevarat daunator - a încercat doar sa încarce unele informatii de sistem, cum ar fi ID - ul masinii, uname -a (care include versiunea de nucleu, arhitectura, etc), informatii CPU,  informatii Pacman, systemctl list-units (care listeaza informatii unitati systemd) la Pastebin.com. Spun ca „ a încercat“ , deoarece nici o informatie de sistem nu a fost de fapt încarcata din cauza unei erori în al doilea scenariu (functia de încarcare se numeste „upload“, dar script - ul a încercat, folosind un alt nume, „Uploader“). 

Scopul încercarii de a încarca aceste informatii pentru din Pastebin nu este clar, mai ales ca date mai sensibile ar fi putut fi încarcate, cum ar fi cheile / SSH GPG. 

Ce anume ar trebui sa verificati în pachete generate de utilizatori , cum ar fi cele gasite în AUR? Acest lucru variaza si nu va pot spune exact , dar puteti începe prin cautarea a ceva care încearca sa descarce ceva folosind curl, wget si alte instrumente similare, si a vedea exact ceea ce incearca sa descarce. De asemenea , verificati serverul de la care sursa de pachet este descarcat si asigurati - va ca este sursa oficiala. 

Din pacate , acest lucru nu este o „stiinta“ exacta. Pentru Launchpad PPA , de exemplu, lucrurile devin mai complicate asa cum trebuie sa stiti cum functioneaza ambalarea Debian, iar sursa poate fi modificata direct , asa cum este gazduita în AAP si încarcata de catre utilizator. Ca o solutie generica, cred ca ar trebui sa instalati numai pachetele generate de utilizatorI in aveti încredere. 

FlorinM

Utilizator Linux - Solus OS, pasionat de calatorii.
  • | 2708 articole

zoly zee | 5 years, 8 months
oricum de remarcat diferenta.... (de altfel pe care o tot spune R.Stallman) pe sistemele deschise imediat vor fi avizati cel putin creatorii pachetului de modificarile aduse.... nu trebuie sa astepte vre-un antivirus care sa-si dea seama dupa 1 milion de pc infectate ca e ceva in neregula...iar reactia este imediata ...asa cum a fost si zilele trecute pe github cu gentoo-ul

Damian Nik | 5 years, 8 months
Mersi, nu pare sa fie grav, mai grav a fost la Gentoo, recent .

  • powered by Verysign